2019年个人信息泄露与丢失事故的趋势
根据东京商业研究的报告,2019年(公历2019年)在上市公司及其子公司中,公开了个人信息泄露和丢失事故的有66家,事故数量为86起,泄露的个人信息达到了903万1734人。2019年,发生了两起泄露超过100万条个人信息的大型事故,其中包括流通巨头Seven & I Holdings推出的支付服务“7pay(七支付)”因非法使用而被迫停止服务,这使得安全措施的重要性再次成为焦点。
关于“宅文件便”事件
大阪燃气的全资子公司奥杰斯研究所推出的文件传输服务“宅文件便”在2019年1月22日发现服务器内有可疑文件,从而揭露了信息泄露的事实。经过进一步调查,也确认了可疑的访问记录,为了防止损害,于23日停止了服务并发布了第一份报告,25日确认了信息泄露。
泄露的案件数量为481万5399件(付费会员2万2569件:免费会员475万329件:退会者4万2501件),泄露的内容包括姓名、登录用电子邮件地址、登录密码、出生年月日、性别、职业/行业/职位、居住地的都道府县名等。这个泄露案件数量是2014年在Benesse公司发现的由委托员工非法获取客户信息的3504万人次的个人信息之后,历史上第二大的记录。
此后,奥杰斯研究所进行了安全检查和加强,并考虑恢复,但由于无法预见系统重建的情况,于2020年3月31日结束了服务,这一消息在2020年1月14日公布。
如果您使用在“宅文件便”上注册的电子邮件地址和登录密码,以及相同的用户ID(电子邮件地址)、登录密码来使用其他网络服务,那么也有可能会被获取泄露信息的第三方进行非法登录,即所谓的“冒充”访问。
丰田移动公司的案例
丰田汽车的销售子公司丰田移动公司在2019年3月21日遭受了网络攻击,与其系统基础相通的8家关联销售公司也成为了目标,网络服务器中最多可能泄露了310万条个人信息。幸运的是,据宣布,信用卡信息并未泄露,因此可能不会直接导致金钱上的问题。然而,这些信息是购买汽车的客户的信息,因此在名册业者之间可能以高价交易,不能保证不会造成损害。
尽管丰田移动公司已获得隐私标志(P标志),但仍发生了这样的个人信息泄露问题,因此在未来的安全措施中将面临重要的选择。此外,这次个人信息泄露事件也证明了,现有的安全措施无法防止这种情况的发生。可能需要实现比获得隐私标志(P标志)的安全体系更高级别的个人信息保护管理体系。
就像这样,就像在Benesse的案例中一样,如果未来的个人信息保护管理体系被判断为不足,可能会导致隐私标志(P标志)的失效。如果隐私标志(P标志)失效,可能会失去信誉,这将成为一个大问题。
「7pay(七支付)」的情况
由Seven & i Holdings引入的支付服务「7pay」在2019年7月2日(服务开始的次日)收到了用户的询问,称“发生了无法理解的交易”,并在7月3日进行了内部调查,发现了非法使用的情况。
他们立即暂停了从信用卡和借记卡的充值,并从7月4日开始暂停新用户注册,同日决定暂停所有充值。
非法访问的受害者人数为808人,损失金额为38,615,473日元。非法访问的手段很可能是列表型攻击。列表型攻击是一种机械输入过去从其他公司等泄露到网络上的ID和密码的方法,至少尝试了数千万次,成功登录的次数超过了808次的非法使用受害者数量。未能防止列表型账户黑客攻击的原因包括:对多设备登录的措施、二步验证等附加验证的考虑不足,以及未能充分验证系统整体的优化等。
8月1日,Seven & i Holdings在东京举行了紧急新闻发布会,宣布「7pay」将于9月30日24时结束。服务终止的原因有以下三点:
- 预计需要相当长的时间才能完成对7pay的全面应对,包括恢复所有服务,包括充值
- 在此期间,如果要继续服务,只能以“仅使用(支付)”的不完全形式进行
- 客户仍然对该服务感到不安
Seven & i Holdings的网络安全意识过于宽松,集团内部的协调不佳,这些问题逐一暴露出来,导致了不寻常的短期撤退。这个大型零售商的挫败,引发了对政府推动的无现金支付的不安。
优衣库的案例
2019年5月10日(平成31年),在优衣库运营的在线商店网站上,确认了用户本人以外的第三方进行的非法登录。
从4月23日到5月10日,通过列表型攻击手段进行的非法登录的账户数量,被认为是在优衣库官方在线商店和GU官方在线商店注册的461,091个,可能被查看的用户个人信息包括姓名、地址(邮政编码、市区县镇村、门牌号、房间号)、电话号码、手机电话号码、电子邮件地址、性别、出生年月日、购买历史、在我的尺寸中注册的姓名和尺寸、信用卡信息的一部分(卡片持有人、有效期限、信用卡号码的一部分)。
我们已经确定了试图非法登录的通信源并阻止了访问,对其他访问也加强了监控,但对可能被查看个人信息的用户ID,我们在5月13日(平成31年)使密码失效,并通过电子邮件单独联系请求重新设置密码,并向警视厅报告了此事。
不仅基本的个人信息如姓名、地址、电话号码、手机电话号码、电子邮件地址、出生年月日,还有购买历史和在我的尺寸中注册的姓名和尺寸等隐私信息的泄露,这是一个特点,也是一个令人不悦和不安的例子。
https://monolith-law.jp/reputation/personal-information-and-privacy-violation[ja]
神奈川县政府的案例
2019年12月6日,神奈川县政府使用的HDD(硬盘驱动器)被转售,导致包含个人信息的行政文件等信息泄露。神奈川县与富士通租赁公司签订了服务器等租赁合同,富士通租赁公司在2019年春季从租赁的服务器中取出HDD,并将其处理委托给了回收公司。然而,该公司的负责人将部分HDD带走,并在未初始化的状态下在Yahoo拍卖上转售。其中有9个被一位IT公司经营者购买,当他检查内容时,发现了看似神奈川县公文的数据,于是向新闻社提供了信息。新闻社向县政府确认后,信息泄露的事实得以确认。
根据县政府在6日上午的公告,共有18个HDD被带走,其中9个已经回收,其余9个也已经在后来被回收。泄露的信息包括个人名字和公司名字的纳税通知书,法人名字的税务调查后的通知,个人名字和地址的汽车税纳税记录,公司的提交文件,县职员的工作记录和名单等包含个人信息的数据。由于每个HDD的存储容量为3TB,因此18个HDD可能泄露了最多54TB的数据。
神奈川县政府存在以下问题:
- 对于存储行政文件等的文件服务器,没有充分考虑硬件级别的加密,而是以原始数据的形式存储。
- 虽然规定在将存储重要信息的设备归还给租赁公司时,需要在数据全部删除后由租赁公司进行数据删除操作,但并未收到完成证明书等。
- 负责人也不知道回收公司正在进行租赁设备的回收。
富士通租赁公司存在以下问题:
- 对于设备废弃(回收),完全交给了回收公司。
- 虽然租赁合同规定,需要向县政府提交证明数据已完全删除的证明书,但并未向回收公司请求发放证明书。
对于回收公司,无需多言。
我认为,这三个组织共同存在的对安全问题的危机感的缺乏和不负责任的推诿态度,导致了这样糟糕的结果。
https://monolith-law.jp/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]
其他非法访问情况
由非法访问导致的事故,其影响范围广泛,造成的损失巨大,且这类事故的数量逐年增加。据东京商工研究所的调查,2019年(令和元年)发生了自该机构开始调查以来的最多的41起(涉及32家公司)非法访问事故。这占到了2019年信息泄露和丢失事故86起的近半数,泄露和丢失的信息数量达到890万2078条,占到2019年全年(903万1734条)的98.5%。除了上述的例子,2019年还有许多其他的非法访问事件被揭露,以下是一些例子。
汽车用品销售公司的情况
2月26日,由株式会社ハセ・プロ(Hase Pro Co., Ltd.)运营的在线汽车用品销售店铺遭到了恶意攻击,利用网站的漏洞进行了非法访问。假冒的支付页面被显示出来,用户输入的信用卡信息被泄露。
「歯学書ドットコム」的案例
3月25日,由牙科专业出版社Quintessence Publishing株式会社运营的「歯学書ドットコム」的网站服务器遭到非法访问,导致网站用户的个人信息泄露。对于使用信用卡支付的客户,包括安全码在内的信用卡信息也被泄露。此外,包括牙科招聘网站和日本国际牙科大会等用户的个人信息在内,最多有23000条个人信息被泄露。
「七星号Gallery」的情况
4月12日,九州旅客铁路股份有限公司的豪华游轮列车「七星号in九州」的相关商品通信销售网站「七星号Gallery」遭到了非法访问,包括客户的信用卡信息在内的个人信息被泄露。对于已注册信用卡信息的3086名会员,可能包含安全码,对于未注册信用卡信息的会员以及其他使用该网站的用户信息等,共计5120条,也存在信息泄露的可能性。
在问卷监测服务「アンとケイト」的情况下
5月23日,由株式会社マーケティングアプリケーションズ运营的问卷监测服务「アンとケイト」遭到了利用服务器漏洞的非法访问。虽然有77万74个注册账户的个人信息被泄露,但包含的信息包括电子邮件地址、性别、职业、工作地点、银行账户相关信息等。
「山田网络商城・山田购物中心」的情况
5月29日,由山田电器股份有限公司运营的「山田网络商城・山田购物中心」遭到了非法访问,支付应用程序被篡改,期间注册的客户信息最多达到了37832条。
关于伊欧卡
6月13日,伊欧信贷服务股份有限公司的伊欧卡遭受了密码列表攻击,导致非法登录。确认了有1917个账户处于可以被非法登录的状态,其中708个账户已经发生了非法登录,总计造成了约2200万日元的非法使用损失。攻击者对官方网站的“伊欧广场”发起密码列表攻击,非法获取用户账户信息,利用官方应用的注册信息更改功能将联系方式更改为其他联系方式,并通过支付联动功能使用资金。
三井住友卡「Vpass应用」的情况
8月23日,三井住友卡股份有限公司宣布,会员专用智能手机应用「Vpass应用」可能遭到了非法入侵,最多有16756条客户ID信息受到影响。该公司定期进行的监控调查确认了非法访问的存在,并在调查原因时发现,约500万次的登录尝试中,大部分并未在该服务中注册,因此被认为是密码列表型攻击。
就瑞穗银行的「J-Coin Pay」情况
9月4日,瑞穗金融集团股份有限公司(瑞穗银行)宣布,其提供服务的「J-Coin Pay」的加盟店管理测试系统遭到了非法访问,导致18469条J-Coin加盟店信息泄露。
「10mois WEBSHOP」的情况
9月19日,有限公司Ficelle的在线商店「10mois WEBSHOP」遭到了非法访问,公布了10万8131条客户个人信息和1万1913条信用卡信息的泄露。信用卡信息中还包含了安全码。
京都一之传官方网站的情况
10月8日,以西京腌菜等产品而闻名的京都一之传股份有限公司的官方网站遭到了非法访问,支付表单被篡改。包含安全码的信用卡信息18855条,以及会员信息、发货记录等72738条信息被泄露。
「象印购物」的情况
12月5日,由象印Mahobin股份有限公司运营的「象印购物」网站遭到了非法访问,最多可能有280,520条客户信息泄露。非法访问的原因被认为是网站内部的安全漏洞,因此该公司自12月4日起已暂停公开购物网站。
电子小说服务「ノベルバ」的情况
12月25日,由株式会社ビーグリー运营的电子小说服务「ノベルバ」遭到了非法访问,包括注册者的电子邮件地址在内的个人信息共计33,715条被泄露。此外,参加了奖励计划的用户76名的账户信息也可能已经泄露,存在二次受害的可能性。
总结
为了防止信息泄露和丢失,所有处理个人信息的组织和企业都必须采取适当的措施,这已成为重要的问题。特别是对于与上市公司相比资金和人力资源较少的小型企业,泄露事故可能对经营造成致命的损害。因此,必须采取安全措施和建立信息管理制度。在大数据利用等背景下,个人信息的重要性正在增加。同时,对于日益复杂和巧妙的非法访问等,安全措施和严格的信息管理已成为风险管理的重要前提。
